Die Rolle von „Übereinkommen Nr. 108+“ im Rahmen der Prüfung des Datenschutzniveaus in Drittländern nach der DSGVO

Nach der Entscheidung des EuGH in der Rechtssache Schrems II (C-311/18) wird vermehrt deutlich, dass der Inhalt dieses Urteils bei weitem nicht nur Auswirkungen auf Datenübermittlungen in die USA hat. Wenn kein Angemessenheitsbeschluss der Europäischen Kommission existiert, fordert der EuGH von datenexportierenden Verantwortlichen, dass sie vor der Übermittlung prüfen, ob in dem jeweiligen Drittland ein gleichwertiges Schutzniveau für personenbezogene Daten existiert.

Es stellt sich die Frage, welche Bedeutung das Übereinkommen Nr. 108+ (man spricht von „Nr. 108+“, da das alte Übereinkommen im Jahre 2018 angepasst wurde) des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) bei der Prüfung des Schutzniveaus in Drittländer spielt, die Vertragspartei dieses völkerrechtlichen Übereinkommens sind. Mein Kollege Philipp Quiel und ich haben uns hierzu ein paar tiefergehende Gedanken gemacht und die Vorgaben der DSGVO für ein „gleichwertiges Schutzniveau“ den Regelungen des Übereinkommen Nr. 108+ gegenübergestellt. Den Beitrag kann man hier herunterladen (PDF).

Ergänzung vom 31.8.2020: aufgrund des Feedbacks auf Twitter haben wir die gegenüberstellende Analyse um die Regelungen des Übereinkommens 108 und Informationen zum Gültigkeitsstatus ergänzt. Danke.

Bundesländer schließen Vereinbarung zur gemeinsamen Verantwortlichkeit nach DSGVO – Blaupause für die Praxis?

Die Rechtsfigur der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) hat seit den EuGH Urteilen in Sachen Wirtschaftsakademie (C-210/16) und FashionID (C-40/17) Hochkonjunktur. Das Problem in der Praxis: niemand weiß, wie genau eine von der DSGVO geforderte Vereinbarung aussehen muss. Art. 26 DSGVO gibt hierzu nur rudimentäre Anhaltspunkte; ganz anders etwa als Art. 28 DSGVO für die Auftragsverarbeitung. Für die Praxis ist dies positiv und negativ zugleich. Positiv, da man einen gewissen Gestaltungsspielraum hat; negativ, da man diesen Gestaltungsspielraum nicht sicher definieren kann.

Daher freue ich mich immer, wenn ich Beispiele für Vereinbarungen nach Art. 26 DSGVO sehe.

Ein solches Beispiel habe ich nun in der Parlamentsdokumentation des Landtages NRW entdeckt. Dort ist der „Entwurf einer Vereinbarung gemäß Artikel 26 Datenschutz-Grundverordnung (DS-GVO) über die Verarbeitung personenbezogener Daten der Händler und Hersteller von Waffen und wesentlichen Waffenteilen in der Kopfstelle des Nationalen Waffenregisters“ (pdf) abrufbar.

Hintergrund der Vereinbarung (die ab dem 1.9.2020 gelten soll) ist das Inkrafttreten neuer Vorschriften zum Nationalen Waffenregister (NWR). Diese beinhalten eine Registrierungspflicht der Händler und Hersteller von Waffen. In der Form einer „Kopfstelle“ beauftragen alle Bundesländer die Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) mit Datenverarbeitungen.

Die Vereinbarung nach Art. 26 DSGVO wird hier also von alles Bundesländern getroffen.

Aus Sicht der Praxis lohnt sich sicher ein Blick in die Vereinbarung. Sei es, um in eigenen Ansichten bestätigt zu werden oder auch, um neue Anregungen zu erhalten. Nach dem Motto: wie machen das eigentlich die Bundesländer?

Einige Anmerkungen zu der Vereinbarung selbst.

In § 1 wird der Hintergrund der Vereinbarung erläutert. Zudem wird in Abs. 3 in Form einer detaillierten Aufzählung festgelegt, worauf sich die gemeinsame Verantwortlichkeit bezieht. Es werden nacheinander einzelne Verarbeitungstätigkeiten beschrieben. Dies in einer beschreiben Form auf faktischer Ebene. Das halte ich für sinnvoll.

§ 2 enthält dann eine Beschreibung der Datenkategorien und auch einen Hinweis auf den Erlaubnistatbestand der Verarbeitung.

§ 3 befasst sich mit der Erfüllung von Betroffenenrechten. Ein für die Praxis sehr relevantes Thema. Hinsichtlich der Informationspflichten wird (sinnigerweise) intern festgelegt, welche Partei sich um die Erteilung der Informationen nach Art. 13, 14 DSGVO und auch des Wesentlichen der Vereinbarung (Art. 26 Abs. 2 DSGVO) kümmert. Achtung: dies soll die Betreiberin der Kopfstelle sein; also nicht eine Partei der Vereinbarung selbst. Daher ist hier auch nur geregelt, dass die Betreiberin der Kopfstelle damit beauftragt wird. Sie kann aber nicht in der Vereinbarung selbst verpflichtet werden (Stichwort: Vertrag zu Lasten Dritter).

Interessant ist zB noch, dass in Abs. 4 Regelungen zur Identifizierung von Betroffenen festgelegt sind, wenn diese Auskunftsansprüche geltend machen.

In § 5 geht es um Meldungen nach Datenschutzverletzungen. Hier ist jede Partei selbst für die Meldung an die für sie zuständige Behörde verantwortlich.

In § 8 geht es um die Beauftragung und Einbindung der Betreiberin der Kopfstelle. Die DVZ M-V GmbH wird als Betreiberin der Kopfstelle als „Auftragsverarbeiterin der Parteien im Sinne von Artikel 28 DS-GVO“ betrachtet.

Nach Abs. 2 muss Partei 8 (das ist das Land Mecklenburg-Vorpommern) „im Namen aller Parteien einen Vertrag nach Art. 28 DS-GVO im Hinblick auf die Verarbeitung der von ihnen zu verantwortenden personenbezogenen Daten“ mit der DVZ M-V GmbH abschließen. Bedeutet: nicht jede Partei muss einzeln mit dem AVler kontrahieren. Das geht auch durch eine beauftragte Partei, im Namen aller. Zudem sehen die Abs. 3 und 4 einen Mechanismus zur Aufnahme weiterer AVler vor. Es muss eine vorherige schriftliche Zustimmung aller Parteien eingeholt werden. So ein Mechanismus kann in Unternehmensgruppen natürlich wahnsinnig aufwendig sein. Hier könnte man überlegen, ob denn diese Zustimmung (ähnlich wie bei Art. 28 DSGVO) nicht schon vorab erteilt wird und die übrigen Parteien informiert werden und ggfs. widersprechen können.

§ 10 enthält Regelungen zur Haftung. Diese sind jedoch wenig spektakulär und geben im Grunde die Vorgaben der DSGVO wieder. Interessant ist aber, dass die Bundesländer davon ausgehen, dass sie nach außen für Schäden gesamtschuldnerisch haften und zwar nach Maßgabe der Regelungen zum Schadensersatz (Art. 82 DSGVO). Zu einer Haftung bzgl. der Nichterfüllung von Betroffenenrechten (Art. 26 Abs. 3 DSGVO) oder im Fall von Bußgeldern, wird dort nichts geregelt.

Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln

Was sind die Konsequenzen des Schrems II-Urteils des EuGH (C-311/18)? Was ist bei Datentransfers in die USA und auch andere Drittländer zu beachten? Diese Fragen stellen sich aktuell natürlich viele Unternehmen und allgemein datenverarbeitende Stellen. Ich habe nicht den Anspruch, hierauf abschließende Antworten zu geben.

Gerne möchte ich aber in diesem Beitrag versuchen, das Urteil zum einen systematisch einzuordnen und etwas „aufzudröseln“. Zum anderen auch mögliche (!) praktische Konsequenzen für datenverarbeitende Stellen abzuleiten. Im Blick sollen hierbei die Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) stehen. Das andere Interpretation des Urteils sicherlich ebenso vertretbar sind, versteht sich meines Erachtens von selbst.

Ich verzichte hier bewusst auf eine Darstellung, was Hintergrund des Verfahrens war und auch auf Erläuterungen, was das EU US Privacy Shield oder die SDK sind.

Da dieser Beitrag relativ lang ist, stelle ich ihn auch in einem PDF-Dokument zum Download bereit.

A. Systematik des Urteils

Meines Erachtens bietet sich zunächst an, den Prüfaufbau des EuGH in den Blick zu nehmen. Dies ist, gerade aufgrund der Länge des Urteils relevant. Denn man kann sich gut in der Begründung verlieren, nur um dann die Frage zu stellen, was denn eigentlich gerade geprüft wird. Hierzu habe ich eine kleine Gliederung erstellt:

1. Das erforderliche Schutzniveau nach Art. 46 Abs. 1 und Art. 46 Abs. 2 lit. c DSGVO, wenn Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden? (ab Rz. 90)

2. Aussetzungspflicht der Datenschutzbehörde, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können? (ab Rz. 106)

3. Gültigkeit des Standarddatenschutzklausel-Beschlusses im Hinblick auf die Art. 7, 8 und 47 der Charta („angemessenes Schutzniveau“)? (ab Rz. 122)

4. Ob und inwieweit eine Datenschutzbehörde („DSB“) eines Mitgliedstaats an die Feststellungen im Privacy Shield-Beschluss gebunden ist // ob die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in die USA die durch die Art. 7, 8 und 47 der Charta verbürgten Rechte verletzt? (ab Rz. 150)

a. Zum Inhalt des Privacy Shield-Beschlusses (ab Rz. 163)

b. Zur Feststellung eines angemessenen Schutzniveaus (ab Rz. 168)

B. Einheitliches Schutzniveau für Kapitel V der DSGVO

Aus der Gliederung wird bereits deutlich, dass der EuGH in dem Urteil zunächst prüft, was denn überhaupt für ein Schutzniveau zu erreichen ist, wenn Daten auf der Grundlage von Art. 46 DSGVO übermittelt werden. In der Prüfung im ersten Abschnitt befasst sich der EuGH ganz allgemein mit der Frage, welches Schutzniveau „geeignete Garantien“ erreichen müssen.

Also ganz abstrakt: gibt es einen Unterschied des zu erreichenden Schutzniveaus bei den Transfermechanismen nach Kapitel V DSGVO?

Nein. Nach dem EuGH gilt für die ganze DSGVO und damit auch Kapitel V ein einheitliches Schutzniveau. Das bedeutet, dass die in Art. 46 Abs. 1 DSGVO genannten „geeigneten Garantien“ so beschaffen sein müssen, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von SDK in ein Drittland übermittelt werden – wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung – ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (Rz. 96).

In den Rz. 90-105 geht es noch gar nicht spezifisch um die aktuell geltenden SDK, sondern allgemein um dieses Transferinstrument an sich. Das Gericht betrachtet den allgemeinen Prüfungsmaßstab, der an Datentransfers nach Art. 46 DSGVO zu stellen ist. Die SDK stellen dabei ein Beispiel dar.

C. Anforderungen an Datentransfers ohne Angemessenheitsbeschluss

Nach dem EuGH (und der Vorgaben in Art. 46 Abs. 1 DSGVO) dürfen, bei fehlendem Angemessenheitsbeschluss, personenbezogene Daten an ein Drittland übermitteln werden, wenn der Exporteur folgende drei Ziele erreicht:

  • er „geeignete Garantien“ vorgesehen hat (diese können u.a. in den SDK bestehen)
  • den betroffenen Personen „durchsetzbare Rechte“ und
  • wirksame Rechtsbehelfe“ zur Verfügung stehen (Rz. 91)

Dies sind, für Art. 46 DSGVO, die maßgeblichen drei Kriterien des angemessenen Schutzniveaus.

Wichtig: im Rahmen des Art. 46 DSGVO (und damit auch der SDK) muss aber nicht das Zielland und die dortige Rechtsordnung ein der Sache nach gleichwertiges Schutzniveau aufweisen. Sondern die „geeigneten Garantien“ selbst, also zB die SDK, sollen für Personen ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig (Rz. 96).

Das bedeutet dann auch, dass der Prüfungsmaßstab für das Schutzniveau inhaltlich ein anderer ist, als im Fall des Angemessenheitsbeschlusses nach Art. 45 DSGVO (vgl. auch Rz. 129 und 130). Das zu erreichende Ziel (Gleichwertigkeit) ist aber dasselbe.

Meine verbildlichte Darstellung: im Fall des Angemessenheitsbeschlusses ist das ganze Drittland eine schöne grüne Datenschutzwiese. Im Fall des Art. 46 DGSVO (also etwa des Einsatzes von SDK) ist das Drittland aber eine böse Vulkanlandschaft, in der Daten nicht sicher sind und mit den SDK wollen wir nun einen Tunnel zu einem bestimmten Empfänger schaffen. Es existiert also, quasi als Voraussetzung, ein Mangel an Datenschutz, der durch den Tunnel für eine Übermittlung ausgeglichen werden muss (Rz. 95). Dieser Tunnel muss die Daten entsprechend den Anforderungen des Art. 46 DSGVO gegen die Vulkanlandschaft schützen.

D. Schutzniveau beim Einsatz von SDK

Das vorlegende Gericht wollte vom EuGH auch wissen, welche Gesichtspunkte denn konkret zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage der SDK übermittelt werden (Rz. 102).

Die Antwort des EuGH hierauf ist wenig spezifisch und praxistauglich. Er orientiert sich natürlich an dem oben aufgestellten Schutzniveau für Art. 46 DSGVO. Hinsichtlich seiner bereits zuvor herausgestellten drei Kriterien, erläutert er aber in Rz. 104 zusätzlich, dass in Bezug auf eine Übermittlung auf Grundlage der SDK folgende Punkte zu berücksichtigen sind:

  • insbesondere die vertraglichen Regelungen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie,
  • was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.

Und hier vollzieht der EuGH einen wichtigen vergleichenden Schwenk zu den Voraussetzungen für einen Angemessenheitsbeschluss: hinsichtlich des Zugriffs von Behörden des Drittlands auf die übermittelten personenbezogenen Daten entsprechen die Elemente, die im Kontext von Art. 46 DSGVO zu berücksichtigen sind, jenen, die in Art. 45 Abs. 2 DSGVO in nicht abschließender Weise aufgezählt werden.

E. Bewertung der aktuell geltenden SDK (2010/87/EU)

Erfüllen die aktuell geltenden SDK diese Anforderungen? Und was ist konkret bei ihrem Einsatz zu beachten? Mit den aktuell geltenden SDK (bzw. genauer, mit dem zugrundliegenden Beschluss der Kommission) befasst sich der EuGH ab Rz. 122.

Die erste wichtig Feststellung des EuGH ist, dass es Situationen geben kann, in denen die SDK unverändert genutzt werden können, da sie selbst das angemessene Schutzniveau schaffen. Der EuGH unterscheidet zwei Szenarien (Rz. 126):

  • Szenario 1: Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SDK garantieren kann.
  • Szenario 2: Situationen, in denen die in den SDK enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.

Zu Szenario 2 nennt das Gericht ein Beispiel: wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

Achtung: nur weil Eingriffe in die Rechte der Betroffenen möglich und durch die nicht angepasste Form der SDK nicht ausgeschlossen werden können, sind die SDK aber nicht untauglich. Das ist meines Erachtens wichtig zu erkennen.

Denn Art. 46 Abs. 2 DSGVO verlangt laut dem EuGH nicht, dass sämtliche Garantien zwangsläufig in einem Beschluss der Kommission wie dem SDK-Beschluss vorgesehen sind (Rz. 128). Dies ist auch gar nicht möglich, denn die SDK sind nur allgemein erstellt und gelten für alle Drittländer (Rz. 130, 133).

Ab Rz. 137 befasst sich der EuGH dann mit dem Beschluss der Kommission zu den aktuell geltenden SDK. Die Ausführungen sind also eher abstrakt wertender Natur. Jedoch geht der EuGH in seiner Prüfung der Gültigkeit des Beschlusses auch auf Pflichten ein, die für Verantwortliche gelten und er erläutert, wie diese auszuüben sind.

F. Pflichten des Verantwortlichen (Exporteur) und des Auftragsverarbeiters (Importeur)

Und nun nähern wir uns auch praktischen Vorgaben. Nach dem EuGH kann es, aufgrund dieses allgemeinen Charakters der SDK, in dem oben erwähnten Szenario 2, je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung des Schutzniveaus der SDK zu gewährleisten (Rz. 133).

Noch einmal zur Erinnerung: Schutzniveau der SDK ist nach EuGH ein der Sache nach gleichwertiges Schutzniveau wie in der EU.

Und der EuGH geht noch weiter: es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren (Rz. 134).

Achtung: das bedeutet, dass der exportierende Verantwortliche zumindest vor der Übermittlung validieren muss, ob die unveränderte Form der SDK zum Einsatz kommen kann, um das Schutzniveau (das sie per se schaffen) zu halten. Es geht bei dieser Prüfung nicht um das komplette Recht des Drittlandes. Der EuGH verweist klar auf die konkret übermittelten Daten: „einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“ (Rz. 134). Zudem wäre eine Prüfung der gesamten Rechtsordnung nicht mit der vorherigen Begründung des EuGH zu dem Unterschied zwischen Angemessenheitsbeschluss und SDK vereinbar.

Kann der Exporteur oder der Empfänger der Daten keine zusätzlichen Maßnahmen ergreifen, um den Standard der SCC zu halten, ist er verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden (Rz. 135). Der EuGH nennt auch ein Beispiel: wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben.

1. Umfang der Prüfpflicht des Verantwortlichen

Und es stellt sich dann natürlich die Frage, was konkret der Verantwortliche vor der Übermittlung zu prüfen hat? Reicht der Nachweis durch den Importeur, dass er sich an die SDK halten kann? Muss der Verantwortliche eigene Untersuchungen anstellen?

Die Antwort hierauf ergibt sich nach dem EuGH (Rz. 141) aus den Klauseln der SDK, konkret Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b. Diese verpflichten den in der Union ansässigen Verantwortlichen und den Empfänger, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SDK einzuhalten.

Das bedeutet, dass die Prüfungsfrage hier auf erster Stufe lautet: kann der Empfänger die SDK auf Basis des für ihn geltenden Rechts einhalten?

Daraus ergeben sich direkt einige wertvolle Erkenntnisse:

  • Es geht immer um die in den SDK festgelegte Übermittlung; nicht generell um Übermittlungen in das Drittland.
  • Das bedeutet, die Einhaltung der SDK ist grundsätzlich vertragsspezifisch zu prüfen.
  • Die Einhaltung der SDK im Hinblick auf das Recht im Drittland, muss daher wohl auch konkret anhand der zu übermittelnden Daten und des spezifischen Empfängers geprüft werden (und nicht allgemein).
  • Sowohl der Verantwortliche als auch der Empfänger sind verpflichtet, sich entsprechend zu vergewissern (natürlich insbesondere in Form der Zusammenarbeit).

2. Inhalt der Prüfpflicht

Und der EuGH gibt zudem noch einen Hinweis darauf, was die Vertragsparteien bei dieser Prüfung als Bewertungskriterien zu berücksichtigen haben, wovon sie sich also „vergewissern“ müssen.

In der Fußnote zu Klausel 5 der SDK wird klargestellt, dass zwingende Erfordernisse des Rechts im Drittland, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u. a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen.

Das heißt: ein angemessenes Schutzniveau kann auf Basis der SDK auch dann bestehen, wenn Behörden des Drittlandes Zugriff auf die übermittelnden Daten nehmen. Das ist eine wichtige Klarstellung des EuGH, die auch in der Praxis Relevanz hat.

Nur muss dieser Zugriff legislativ so ausgestaltet sein, dass er den Anforderungen des vormaligen Art. 13 Abs. 1 RL 95/46/EG genügt. Dort wurden Ziele aufgeführt, die einschränkende Gesetzesmaßnahmen verfolgen müssen, damit sie zulässig sind.

Art. 13 RL 95/46/EG existiert jedoch nicht mehr. Da nach Art. 94 Abs. 2 DSGVO Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, muss man hier meines Erachtens an die Stelle des Art. 13 Abs. 1 RL 95/46/EG nun Art. 23 Abs. 1 DSGVO und die dort benannten Ziele setzen (die jenen des Art. 13 Abs. 1 RL 95/46/EG sehr ähnlich sind. Hierzu gehören:

  • die nationale Sicherheit;
  • die Landesverteidigung;
  • die öffentliche Sicherheit;
  • die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  • den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  • den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  • die Durchsetzung zivilrechtlicher Ansprüche.

Aber: es reicht nicht, dass das Recht des Drittlandes bei dem Zugriff auf die Daten ein solches Ziel verfolgt. Der Zugriff muss auch zur Verfolgung dieses Ziels erforderlich sein. Verlangt wird also eine Verhältnismäßigkeitsprüfung. Und hier wird es meines Erachtens für europäische Unternehmen alleine sehr schwer, diese Prüfung valide vornehmen zu können. Insbesondere sollten hierbei daher die Empfänger im Drittland unterstützen.

Der EuGH stellt klar, dass es als Verstoß gegen die SDK anzusehen ist, wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.

3. Umsetzung in der Praxis?

In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind und wenn ja, zu welchem Zweck. Sind Zugriffe auf die Daten möglich, so muss dieser Zugriff auf seine Erforderlichkeit hin geprüft werden. Meines Erachtens ergibt sich aus dem Urteil nicht, dass der Verantwortliche selbst diese Prüfung vorzunehmen hat. Es dürfte auch in Ordnung sein, wenn der Importeur (etwa über ein rechtliches Gutachten) dem Verantwortlichen nachweisen kann, dass die Zugriffe durch Behörden die europäischen Anforderungen erfüllen.

Die Prüfung erfolgt also grob wie folgt:

Stufe 1: Einsatz der unveränderten SDK. Kann der Empfänger alle SDK Pflichten einhalten?

  • Verantwortlicher muss sich hiervon „vergewissern“ (ggfs. in Zusammenarbeit mit dem Empfänger).
  • „Vergewissern“ umfasst die Prüfung, ob Zugriffe von Behörden auf die Daten möglich sind.
  • Wenn ja, dann muss geprüft werden, ob die Zugriffe erforderlich sind, um einem in Art. 23 Abs. 1 DSGVO erwähnten Ziel zu dienen und erforderlich sind.

Stufe 2: Pflichten der SDK reichen allein nicht aus. Zusätzliche Maßnahmen sind umzusetzen (Rz. 146).

  • Diese Maßnahmen können sowohl vertraglicher als auch technischer Natur sein.
  • Achtung: Risiko für den Importeur, gegen nationales Recht zu verstoßen.

Meines Erachtens ist noch einmal wichtig klarzustellen, dass die fehlende Möglichkeit, die SDK Pflichten einzuhalten, nach Ansicht des EuGH nicht direkt zur Unzulässigkeit der Übermittlung führt. Nur wenn dann auch zusätzliche Mittel bzw. Garantien nicht helfen, muss die Aufsichtsbehörde den Transfer untersagen bzw. vorher schon der Exporteur. Dies ergibt sich aus Rz. 146: „…,dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“.

Der EuGH endet dann in Rz. 149 mit der Feststellung, dass die SDK in ihrer aktuellen Fassung und durch die dort enthaltenen Garantien grundsätzlich das erforderliche Schutzniveau (Rz. 96, „gleichwertig“) bieten. Ist die Einhaltung der SDK nicht möglich, müsste man mit der oben genannten Stufe 2 der Prüfung und Umsetzung weiterer Garantien fortfahren.

Datenschutzbehörde Niedersachsen: umfassende FAQ zur Auftragsverarbeitung nach der DSGVO

Die LfD Niedersachsen hat auf ihrer Webseite ein Dokument mit FAQ zur Auftragsverarbeitung nach der DSGVO veröffentlicht (Stand: Juni 2020).

Derartige Dokumente und Hinweise sind in der Praxis gerade mit Blick auf das Thema Auftragsverarbeitung sehr wertvoll, da die DSGVO diesbezüglich gar keine Beispiele enthält und sich immer wieder Abgrenzungsfragen stellen.

Nachfolgend greife ich ein paar Ansichten und Hinweise der LfD heraus.

Wann liegt eine Auftragsverarbeitung vor?

Nach Auffassung der LfD geht es bei einer Auftragsverarbeitung „um eine spezifische Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten“. Als Beispiel nennt die Behörde datenschutzkonforme Vernichtung von Dokumenten oder Datenträgern.

In Frage 2 stellt die LfD zwei Prüffragen zur Einordnung dar, ob eine AV-Konstellation vorliegt. Sollten beide Fragen mit „ja“ beantwortet werden, so liege eine Auftragsverarbeitung vor.

Erste Frage: Werden bei dem Verarbeitungsprozess personenbezogene Daten verarbeitet?

Zweite Frage: Ist die mit der Verarbeitung personenbezogener Daten beauftragte Stelle nicht verantwortlich?

Meines Erachtens sind diese beiden Fragen jedoch in der Praxis nicht unbedingt zielführend. Insbesondere hinsichtlich der ersten Frage gibt es oft Situationen, in denen zwar Daten verarbeitet werden, aber natürlich keine Auftragsverarbeitung vorliegt. Zudem kann man eigentlich die zweite Frage für sich alleinstehen lassen. Denn diese betrifft schon das Ergebnis, was eigentlich mit Beantwortung beider Fragen erst gefunden werden soll. Oder anders: wenn jemand Verantwortlicher in Bezug auf eine Verarbeitung ist, dann ist er nicht Auftragsverarbeiter. Das ist klar, soll aber durch die beiden Fragen eigentlich erst festgestellt werden.

Für die Praxis relevant sind einige bei der zweiten Frage genannten Regelbeispiele für Auftragsverarbeitungen:

  • Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort,
  • Datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
  • elektronische Rechnungserstellung.

Privilegierung der Auftragsverarbeitung?

Zudem geht die LfD auch darauf ein, ob der Auftragsverarbeiter eine eigene Rechtsgrundlage für die Verarbeitung benötigt.

Dies ist nach Ansicht der LfD nicht der Fall. Aber: es ist das Vorliegen einer Rechtsgrundlage nötig, jedoch nicht beim Auftragsverarbeiter. Der Auftragsverarbeiter stützte sich für die Verarbeitung personenbezogener Daten „im Auftrag“ auf die dem Verantwortlichen zustehende Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Wie die LfD zu diesem Ergebnis auf Grundlage der DSGVO kommt, bleibt aber unklar.

Entscheidend ist der Kern der beauftragten Leistung

Im Zusammenhang mit den obigen Kontrollfragen stellt die LfD dann bei Frage 4 klar, dass es auch Konstellationen gibt, in denen zwar Daten verarbeitet werden, die andere Stelle aber nicht als Auftragsverarbeiter agiert. Ähnlich wie schon das BayLDA, stellt die LfD (meines Erachtens zurecht) auf den Kern der beauftragten Leistung ab. Eine Auftragsverarbeitung kann daher verneint werden,

wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 zur DS-GVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“. Dieses kann im Einzelfall verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist beziehungsweise nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung des Auftragnehmers darstellt.

Die LfD nennt hierfür auch Beispiele:

  • Wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken
  • Der Hersteller von Produkten erhält für mit Endkunden vereinbarte Direktlieferungen vom Online-Händler die Adresse des Kunden (Dropshipping) (hierzu enthält das Dokument auch ein Schaubild)
  • Blumen- oder Weinhändler erhält zur Versendung von Blumen- beziehungsweise Weingeschenken an dritte Personen von seinem Kunden eine Liste mit Adressdaten der Empfänger

Vertrag ist nicht immer erforderlich

Interessant ist zudem die Ansicht der LfD, ob immer ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) abzuschließen ist. Zwar sein für die Auftragsverarbeitung ein konkreter Rahmen festzulegen.

Dafür müssen der Verantwortliche und der Auftragsverarbeiter in der Regel einen Vertrag zur Auftragsverarbeitung schließen. Alternativ kann sich der Auftragsverarbeiter zum Beispiel auch einseitig gegenüber dem Verantwortlichen verpflichten.

Die LfD lässt mithin auch die einseitige Verpflichtung des Auftragsverarbeiters ausreichen. Näher begründet wird diese Ansicht nicht. Ich vermute, die LfD stützt sich auf Art. 38 Abs. 3 DSGVO, in dem es heißt: „oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet“.

Antworten auf Einzelfragen

In Antwort 7 des Dokuments finden sich dann verschiedene Antworten auf spezifische Einzelfragen.

Dort verweist die LfD u.a. auf eine abgestimmte Position der deutschen Behörden, dass für IT-Wartungsdienstleistungen ein Vertrag zur Auftragsverarbeitung abzuschließen ist. Grund sei, dass im Rahmen der beauftragten Tätigkeit für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Daten der Beschäftigten des Auftraggebers oder auf Kundendaten bestehe, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten. Meines Erachtens steht diese Ansicht aber der zuvor genannten Sichtweise entgegen, dass es auf den Kern der Beauftragung ankommt. Wenn ein Unternehmen aber gerade nicht mit der Verarbeitung von Daten (oder dem Zugriff darauf) beauftragt wird, dann liegt eigentlich keine Auftragsverarbeitung vor. Nach Ansicht der Behörden hier dann aber wohl doch. Die Begründung: aufgrund der

bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.

Die Möglichkeit (!) des Zugriffs, führt also zum Schwerpunkt der Tätigkeit. Interessant. Meines Erachtens ist diese Auffassung nicht mit der zuvor von der LfD selbst genannten Ansicht, nach der es stets um den Kern der beauftragten Leistung geht, vereinbar. Zumindest fehlt mir eine plausible Begründung für diese Abweichung. Ich vermute, die deutschen Behörden möchten gerne die gesetzliche Fiktion des § 11 Abs. 5 BDSG aF in das neue Datenschutzrecht „retten“. Dazu muss man aber sagen: § 11 Abs. 5 BDSG aF existiert weder im neuen BDSG und erst recht nicht in der DSGVO. Diese Auffassung halte ich daher für diskutabel, zumal sie in der Praxis Unsicherheiten schafft, wann allein die Möglichkeit eines Zugriffs quasi zur Auftragsverarbeitung führt.

Datenschutzbehörde Sachsen-Anhalt: Ungenügende Personalausstattung ist europarechtswidrig

Der Landesdatenschutzbeauftragte für Sachsen-Anhalt hat gestern seinen neuen Tätigkeitsbericht veröffentlicht (pdf).

Unter der Überschrift „Unzureichende Personalausstattung der Geschäftsstelle“ geht der Beauftragte auch auf die aus seiner Sicht prekäre und europarechtswidrige Ausstattung der Aufsichtsbehörde ein.

Der beauftragte geht davon aus, dass dem Anwendungsbeginn der DSGVO und einem damit verbundenen Zusatzbedarf eine Personalausstattung von insgesamt 53 Stellen erforderlich ist. Von diesem aktuellen Gesamtbedarf sind bislang aber nur 30 Stellen (einschließlich des Landesbeauftragten) vorhanden, so dass ein offener Stellenbedarf von weiteren 23 Stellen besteht.

Der Beauftragte hatte daher im Jahre 2019 für die Haushaltsjahre 2020/2021 insgesamt 15 Stellen mit Begründung im Rahmen der Haushaltsaufstellung angemeldet.

Das Ministerium für Finanzen hat diese Anmeldungen, ohne auf die Begründung der Stellen seitens des Landesbeauftragten einzugehen und ohne die Erforderlichkeit der Stellen zu prüfen, komplett gestrichen.

Die komplette Streichung ohne Begründung ist meines Erachtens schon ein starkes Stück. Gerade wenn man bedenkt, dass die Europäische Kommission das Thema der Ausstattung der Aufsichtsbehörden in den Mitgliedstaaten beobachtet.

Zwar habe der Beauftragte in den Haushaltsberatungen im Ausschuss für Finanzen seinen konkreten Stellenbedarf noch einmal erläutert. Auch dort schien man aber wenig zugänglich.

Gleichwohl bewilligte der Ausschuss für Finanzen bzw. der Landtag dem Landesbeauftragten für seine Geschäftsstelle keinerlei zusätzliche Stelle.

Es scheint also so, dass man im Landtag in Sachsen-Anhalt der Auffassung ist, dass die DSGVO keinen weiteren Arbeitsaufwand für die Aufsichtsbehörde mit sich bringe. Meiner Ansicht nach ist eine solche Sicht lebensfremd.

Der Beauftragte folgert aus dieser Situation:

Sowohl die einseitige Streichung ohne Begründung als auch die dabei unterlassene Prüfung der Erforderlichkeit des Stellenbedarfs stellen einen Verstoß gegen europäisches und Landesrecht dar. Art. 52 Abs. 4 DS-GVO, § 21 Abs. 3 Satz 2 DSG LSA bzw. § 22 Abs. 2 Satz 2 DSAG enthalten eine Garantie hinsichtlich der notwendigen Personalausstattung.

Der von dem Beauftragten angemeldete Bedarf wurde von keinem der am Haushaltsaufstellungsverfahren Beteiligten, weder von der Landesregierung noch vom Landtag, mit bestritten. Dennoch wurden die Stellen nicht bewilligt.

Der Beauftragte hierzu:

Durch die einseitige Streichung von notwendigen Stellen liegt eine gravierende, unzulässige Einflussnahme in die völlige Unabhängigkeit des Landesbeauftragten vor, die sich sowohl auf die Personalhoheit als auch auf die konkreten Möglichkeiten der Aufgabenbewältigung negativ auswirkt.

Eventuell ist ja dieser Fall aus Sachsen-Anhalt ein weiteres Argument dafür, dass einmal vor dem EuGH geklärt werden muss, wie die Aufsichtsbehörden personell und finanziell auszustatten sind. Nicht nur der Beauftragte in Sachsen-Anhalt kritisiert nämlich die ungenügende Ausstattung und damit nicht erfüllbare gesetzliche Aufgabe. Auch andere Landesbehörden haben wiederholt darauf hingewiesen, dass sie mit den ihnen zur Verfügung stehenden Mittel den Anforderungen der DSGVO an die Datenschutzbehörden nicht gerecht werden können.

Datenschutzbehörde Liechtenstein: Gegen eine extensive Auslegung des Auskunftsrechts nach der DSGVO

Die Datenschutzbehörde aus Liechtenstein (Datenschutzstelle), hat jüngst ihren aktuellen Tätigkeitsbericht für 2019 veröffentlicht. Neben den Entscheidungen und Berichten der Behörde aus Österreich, stellen die Informationen der Datenschutzstelle eine weitere interessante deutschsprachige Quelle zur Auslegung und Anwendung der DSGVO dar.

In dem Bericht geht die Datenschutzstelle u.a. auch auf das Auskunftsrecht und die praktische Umsetzung von Betroffenenanfragen ein (S. 17 ff.). In Liechtenstein scheint diesbezüglich oft auf die Rechtsprechung in Deutschland zu dem (kontrovers diskutierten) Thema verwiesen zu werden.

Die Datenschutzstelle geht in ihrem Bericht daher zu Beginn auch auf die Rechtsprechung und Ansichten in Deutschland ein. Danach gibt die Datenschutzbehörde ihre allgemeine Sichtweise zu diesem Thema wieder.

Die Datenschutzstelle sprach sich im Berichtsjahr ebenfalls gegen eine extensive Auslegung des Auskunftsrechts aus, insbesondere im Hinblick auf die Frage der Empfänger gemäss Art. 15 Abs. 1 Bst. C DSGVO sowie bezüglich des Rechts auf Kopie gemäss Art. 15 Abs. 3 DSGVO.

Nach Ansicht der Datenschutzstelle dienen die Auskünfte, die eine betroffene Person verlangen kann, primär dazu, ihr die Wahrnehmung der weiteren Rechte aus der DSGVO zu ermöglichen, also insbesondere das Recht auf Berichtigung nach Art. 16, auf Löschung nach Art. 17 und auf  Einschränkung der Verarbeitung nach Art. 18 DSGVO.

Zur Erfüllung der Anforderung des Art. 15 Abs. 1 lit. c) DSGVO (Empfänger oder Kategorien von Empfängern zu benennen) vertritt die Behörde die Ansicht, dass diese namentlich zu nennen sind, soweit es sich um eine begrenzte Anzahl von Empfängern handelt, an die regelmässig Daten weitergegeben werden.

Interessant ist die Auffassung der Behörde zu der Frage, ob das Recht auf Kopie (Abs. 3) eigenständig neben dem Auskunftsanspruch aus Abs. 1 steht. So geht etwa die Hessische Datenschutzbehörde davon aus, dass Art. 15 Abs. 3 DSGVO kein von Art. 15 Abs. 1 DSGVO „losgelöstes Recht ist“ (TB 2018, S. 77). Die Datenschutzstelle Liechtenstein vertritt jedoch, dass das Recht auf Kopie (Abs. 3) von der betroffenen Person sowohl in Verbindung mit dem Recht auf Auskunft in Abs. 1 als auch isoliert geltend gemacht werden kann.

Großer Streitpunkt beim Recht auf Auskunft ist natürlich sein Umfang. Insbesondere, was von der „Kopie“ nach Abs. 3 umfasst ist. Die Datenschutzstelle hierzu:

Das Recht auf Kopie umfasst nicht die Herausgabe einer Fotokopie sämtlicher Schriftstücke, in denen personenbezogene Daten der betroffenen Person erwähnt werden. Der Wortlaut Kopie der personenbezogenen Daten entspricht aus Sicht der Datenschutzstelle vielmehr einer geordneten Darstellung der personenbezogenen Daten, eine (Foto-)Kopie der Dokumente kann hingegen nicht der Regelfall sein.

Die Datenschutzstelle legt den Umfang der „Kopie“ als eng aus und bezieht ihn allein auf die konkreten Daten (mE zurecht). Die Behörde argumentiert hierzu auch mit der Gesetzessystematik. Es sind nur jene Kopien herauszugeben, die notwendig sind, damit die betroffene Person die Rechtmäßigkeit der Verarbeitung ihrer Daten überprüfen und gegebenenfalls ihre Rechte wahrnehmen kann. Das bedeutet aus Sicht der Datenschutzbehörde:

Folglich müssen unternehmensinterne Gesprächsnotizen oder Sitzungsprotokolle, rechtliche oder andere spezifische Beurteilungen eines Sachverhalts in Bezug auf die betroffene Person, Telefonnotizen, Vertragsentwürfe (im Überarbeitungsmodus), sämtlicher E-Mailverkehr mit der betroffenen Person bzw. mit Dritten in Bezug und unter Erwähnung (einzelner) personenbezogener Daten der betroffenen Person nicht in Form einer (Foto-) Kopie herausgegeben werden.

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Datenschutzbeauftragte in Kurzarbeit? Datenschutzbehörde NRW: geht nicht (komplett).

Im Zuge der Corona-Pandemie haben sehr viele Unternehmen auf Kurzarbeit umgestellt. Dies bedeutet, dass Arbeitnehmer ggfs. nicht mehr arbeiten müssen (je nachdem, welche Form der Kurzarbeit umgesetzt wird). Es können alle oder nur ein Teil der Arbeitnehmer des Betriebes betroffen sein.

Doch wie sieht es mit Funktionen im Unternehmen aus, die eine gesetzlich verpflichtend vorgegeben Rolle einnehmen? Wie der uns bekannte Datenschutzbeauftragte. Darf man Mitarbeiter, die intern als Datenschutzbeauftragte tätig sind, in Kurzarbeit „schicken“?

Meiner Meinung nach ist das sicherlich kein rein aus der datenschutzrechtlicher Sicht zu betrachtendes Thema, denn intern tätige Datenschutzbeauftragte befinden sich in einem Arbeitsverhältnis mit dem Arbeitgeber, welches durch die Kurzarbeit beeinflusst wird.

Die Datenschutzbehörde aus Nordrhein-Westfalen (LDI) hat sich nun auf ihrer Webseite zu der Frage geäußert, ob auch der Datenschutzbeauftragte von Kurzarbeit betroffen sein darf bzw. kann.

Nach Auffassung der LDI entstehen gerade in den jetzigen Zeiten neue datenschutzrechtliche Fragestellungen (z.B: Arbeiten aus dem Home-Office; Einsatz von Videokonferenzsystemen). Um so wichtiger sei es, dass auch das verantwortliche Unternehmen dem Datenschutzbeauftragten die Wahrnehmung der Kontroll- und Beratungsaufgaben ermöglicht. Die LDI verweist hierzu auf die entsprechende Pflicht in Art. 38 Abs. 2 DSGVO.

Die LDI geht davon aus, dass die Unterstützungspflicht des Verantwortlichen und des Auftragsverarbeiters den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben auch dann gilt,

wenn in einem Unternehmen Kurzarbeit eingeführt wurde. Meistens arbeitet ein Unternehmen in verringertem Umfang weiter. Und selbst wenn ein Unternehmen für bestimmte Zeit seine Tätigkeit einstellt, besteht es weiter, hat Beziehungen zu Beschäftigten, Kundinnen und Kunden und verarbeitet deren Daten. Deshalb werden Datenschutzbeauftragte weiter gebraucht und müssen ihre Aufgaben erfüllen können.

Die LDI gesteht zu, dass es durchaus möglich erscheint, dass der Arbeitsumfang eines zuvor in Vollzeit als Datenschutzbeauftragter tätigen Beschäftigten entsprechend reduziert wird.

Das Arbeitsfeld der oder des Datenschutzbeauftragten darf jedoch keinesfalls vollständig „brach liegen“. Vielmehr ist zu prüfen, unter welchen Voraussetzungen Datenschutzbeauftragte in der aktuellen Situation ihre Pflichten weiterhin wahrnehmen können.

Nach Ansicht der LDI dürfte also eine Kurzarbeit 0 durch einen Datenschutzbeauftragten nicht den gesetzlichen Anforderungen der DSGVO entsprechen. Es soll immer noch die Möglichkeit geben, regelmäßig Posteingänge sichten zu können, sowie telefonisch und/oder per E-Mail als Ansprechpartner für die Beschäftigten, Kundinnen und Kunden oder andere betroffene Personen erreichbar sein. Eine anteilige Kurzarbeit ist aber meines Erachtens nach Ansicht der Behörde zulässig.

Sicher kann man hierüber diskutieren. Die LDI begründet ihre Auffassung damit, dass auch in Unternehmen, die nicht mehr arbeiten, ja immer noch (quasi im Hintergrund) Daten vorgehalten und verarbeitet werden. Man könnte als weiteres Beispiel anführen, dass etwa weiterhin eine Webseite betrieben wird, über die Daten verarbeitet werden. Die Frage ist, ob diese Begründung ausreicht, die national geregelte (arbeitsrechtliche) Möglichkeit der Reduzierung der Arbeitszeit auf null auszuhebeln.

Berliner Datenschutzbeauftragte: Verfassung von Berlin ist wegen fehlender Unabhängigkeit der Datenschutzbehörde europarechtswidrig

Die in der Verfassung von Berlin niedergelegte Dienstaufsicht des Präsidenten des Abgeordnetenhauses von Berlin über die Berliner Datenschutzbeauftragte verstößt gegen Europarecht. Diese Ansicht vertritt die Berliner Datenschutzbeauftragte in ihrem aktuellen Jahresbericht (pdf, S. 202 ff)

Diese sehr klar Positionierung ist, soweit ersichtlich, bislang noch nicht öffentlich kommentiert oder diskutiert worden, birgt jedoch durchaus Konfliktpotential. Beispielsweise könnte die Europäische Kommission aufgrund der aktuellen Regelung ein Vertragsverletzungsverfahren gegen Deutschland einleiten.

Derzeit lautet Art. 47 Abs. 1 Verfassung von Berlin (VvB) wie folgt:

Zur Wahrung des Rechts der informationellen Selbstbestimmung wählt das Abgeordnetenhaus einen Datenschutzbeauftragten. Er wird vom Präsidenten des Abgeordnetenhauses ernannt und unterliegt dessen Dienstaufsicht.

Art. 52 Abs. 1 DSGVO sieht vor, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig handelt. Nach Ansicht der BlnBfDI wird diese Vorgabe noch durch Art. 52 Abs. 2 DSGVO konkretisiert.

Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen“.

Die BlnBfDI begründet ihre Ansicht insbesondere mit Verweisen auf das europäische Primärrecht sowie die Rechtsprechung des EuGH zur Unabhängigkeit der Datenschutzbehörden (noch zur alten EU Datenschutz-Richtlinie).

Nach Art. 16 Abs. 2 S. 2 AEUV wird die Einhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten von unabhängigen Behörden überwacht. Ähnliches sieht auch Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union vor:

Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

In seinem Urteil vom 9. März 2010 (C-518/07) hatte sich der EuGH mit der entsprechenden Vorgabe zur Unabhängigkeit der Aufsichtsbehörden unter Geltung der EU Datenschutz-Richtlinie befasst (Art. 28 Abs. 1 RL 95/46). Dieser lautete:

Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

Der EuGH befand, dass die staatliche Aufsicht gleich welcher Art es der Regierung des betroffenen Landes oder einer Stelle der ihr untergeordneten Verwaltung grundsätzlich ermöglicht, auf Entscheidungen der Kontrollstellen unmittelbar oder mittelbar Einfluss zu nehmen bzw. diese Entscheidungen aufzuheben und zu ersetzen.

Zwar mag es sein, dass die staatliche Aufsicht nur sicherstellen soll, dass das Handeln der Kontrollstellen den geltenden nationalen und gemeinschaftsrechtlichen Bestimmungen entspricht, und demnach nicht darauf abzielt, diese Stellen dazu zu zwingen, politische Zielsetzungen zu verfolgen, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den Grundrechten zuwiderlaufen.

Jedoch, so der EuGH, lasse sich nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden. Hinzu kommt, dass bereits die bloße Gefahr einer politischen Einflussnahme der Aufsichtsbehörden auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen.

Nach Ansicht der BlnBfDI ermöglicht eine staatliche Aufsicht „gleich welcher Art“ jedoch eine solche Einflussnahme. Selbst wenn die Aufsicht einer übergeordneten Stelle in der Praxis regelmäßig nicht zu konkreten Weisungen an die Aufsichtsbehörden führe, reiche die bloße Gefahr einer politischen Einflussnahme, um deren unabhängige Aufgabenwahrnehmung zu beeinträchtigen.

Da Art. 47 Abs. 1 Verfassung von Berlin eine Dienstaufsicht über die BlnBfDI vorsieht, verstoße diese Vorschrift gegen die europäischen Vorgaben.

Die in der Berliner Verfassung noch immer geregelte Dienstaufsicht der Berliner Beauftragten für Datenschutz und Informationsfreiheit durch den Präsidenten des Abgeordnetenhauses verstößt gegen Art. 52 Abs. 1 und 2 DS-GVO.

Zudem weist die BlnBfDI darauf hin, dass Art. 52 DSGVO auf nationaler Ebene unmittelbar anwendbares Unionsrecht darstellen und somit dem nationalen Recht vorrangig anzuwenden sind. Die Folge eines Verstoßes des Landes Berlin gegen die DSGVO kann etwa die Einleitung eines Vertragsverletzungsverfahrens gegen Deutschland sein.

Interessant ist hier zudem ein weiterer Hinweis der BlnBfDI:

Im Fall von Verstößen der Mitgliedsstaaten gegen Art. 52 DS-GVO können sich die Aufsichtsbehörden unmittelbar auf die DS-GVO berufen und gerichtlichen Rechtsschutz suchen.

Die BlnBfDI deutet hier also an, dass sie eventuell selbst gegen die aus ihrer Sicht europarechtswidrige Regelung vorgehen möchte. Zuletzt schlägt die BlnBfDI auch einen neuen Text für Art. 47 Abs. 1 VvB vor.

Hessische Datenschutzbehörde: Keine hohen Anforderungen an „Schriftform“ von Auftragsverarbeitungsverträgen

Der Hessische Datenschutzbeauftragte (HBDI) hat kürzlich seinen neuen, 48. Tätigkeitsbericht veröffentlicht (pdf).

Unter anderem befasst sich die Aufsichtsbehörde dort auch mit einem immer noch praxisrelevanten Thema: in welcher Form dürfen bzw. müssen Verträge zur Auftragsverarbeitung (AVV) abgeschlossen werden?

Bereits in der Vergangenheit hatte ich darauf hingewiesen, dass selbst die Europäische Kommission keine allzu hohen Anforderungen an die Form eines AVV stellt.

Art. 28 Abs. 9 DSGVO gibt vor:

Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“

Bedeutend ist also, was mit „schriftlich“ und „elektronischen Format“ gemeint ist.

Nach Ansicht des HBDI ist das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO nicht identisch mit der Schriftform nach § 126 BGB. Meines Erachtens ist diese Ansicht zutreffend. Unter anderem auch deshalb, weil es sich bei der DSGVO um EU-Recht handelt und eine europarechtsautonome Auslegung erforderlich ist. Der Verweis auf nationale Formvorschriften im Zivilrecht passt daher nicht.

Der HBDI geht davon aus, dass demnach nicht wie nach § 126 Abs. 1 BGB zwingend eine vom Aussteller eigenhändig unterschriebene Urkunde erstellt werden muss. Oder anders ausgedrückt: ein AVV muss nicht handschriftlich unterzeichnet werden.

Danach geht der HBDI auf den Sinn und Zweck der Formvorschrift in Art. 28 DSGVO ein. Mit der in der DSGVO angeordneten Schriftform soll sichergestellt werden, dass die Beteiligten die Möglichkeit haben, sich dauerhaft und zuverlässig über den Inhalt des AVV oder einer einseitigen Verpflichtungserklärung zu informieren.

Diese dauerhafte Informationsfunktion erfüllt auch die Textform, wie sie in § 126b BGB geregelt ist.

Der HBDI lässt also auch solche AVV als wirksam gelten, die „nur“ das deutsche Erfordernis an die Textform erfüllen würden.

Und dann nennt der HBDI auch konkrete Beispiele, wie in der Praxis ein AVV wirksam abgeschlossen werden kann:

  • Austausch von Computerfaxen
  • Austausch von E-Mails mit oder ohne PDF-Anhang

Beide Varianten genügen dem Schriftformerfordernis des Art. 28 Abs. 9 DSGVO.

Zudem weist der HBDI darauf hin, dass der Auftragsverarbeiter auch einen Vertragstext auf seiner Webseite einstellen und der Verantwortliche die Annahmeerklärung durch Anklicken eines Kästchens wirksam abgeben kann.

Jedoch muss dann sichergestellt sein, dass der Verantwortliche den Vertrag speichern und ausdrucken kann. Nach Ansicht des HBDI verlangt die DSGVO nicht, dass ein Download tatsächlich erfolgt.

Zudem geht der HBDI auch auf das Merkmal „elektronischem Format“ ein. Hiermit kann nicht ein nach § 126 a BGB elektronisch signiertes Dokument gemeint sein. Begründet wird diese Ansicht (meines Erachtens zutreffend) u.a. damit, dass sich in Art. 30 Abs. 3 DSGVO für das Führen des Verarbeitungsverzeichnisses eine wortgleiche Schriftformregelung findet.

Es ist jedoch kein Grund ersichtlich, weshalb ein Verzeichnis von Verarbeitungstätigkeiten mit einer qualifizierten elektronischen Signatur versehen werden sollte. Es gibt aber auch keine Anhaltspunkte, dass der Unionsgesetzgeber den Begriff „elektronisches Format“ in den beiden Regelungen mit unterschiedlichem Inhalt verwendet hat.